内容摘要

随着信息技术飞速发展和网络在全球范围内的应用，信息安全事件呈逐年大幅度上升趋势，信息安全问题开始引起人们的注意。但是仅靠技术、安全设备不能解决信息安全遇到的所有问题，而且影响信息安全的因素涉及多个方面，其管理是一个复杂的风险管理过程，而管理的基础在于对风险的评估与分析。 信息安全风险评估是对信息资产存在的脆弱性、面临的威胁及脆弱性被威胁利用产生的影响和危害事件发生的可能性，进行科学的评价过程。对信息安全风险而言，脆弱性和威胁是原因，负面影响和可能性是结果。 信息安全风险管理是一个动态的、循环的过程，在风险评估的基础上，还要对风险控制措施加以落实，并进行有效的监督和控制。安全不是优势地位的，而是相对的，在企业实施信息安全风险管理项目时，要按照成本—效益的原则，有效整合企业的各种资源。 本文结合国内外信息安全风险评估与风险管理的理论及方法，提出了运用萨蒂（T.L.Saaty）教授的层次分析法AHP（Analytic Hierarchy Process）对信息安全风险进行评估，实现从定性分析到定量分析的转化，得到风险因子的权重，并按照风险因子权重大小进行排序，然后运用戴明(W.Edwards.Deming)博士的PDCA（Plan-Do-Check-Action）质量控制环，对这些风险因子进行风险管理。该论文选用海航学院信息安全风险评估与管理作为案例，对本文提出的信息安全风险评估与风险管理进行了初步应用，可为国内中小企业信息安全风险管理提供经验和参考。